Contre les fraudes aux moyens de paiement scripturaux

Par cet amendement, le groupe LFI-NFP prévoit de donner à la CNIL la capacité d’observer et de mesurer le nombre de requêtes réalisées par un banquier, et de retirer leur possibilité de consulter le Fichier national des chèques irréguliers (FNCI) dans le cas où des abus manifestes seraient constatés.

La mise à disposition des informations contenues dans le FNCI pour les banques est une bonne chose, ces dernières étant les plus à même de constater l’irrégularité d’un chèque.

Cela demeure une mesure bien insuffisante : au moment où la banque constate l’irrégularité d’un chèque, la victime, la plupart du temps un particulier ou une TPE qui s’était vu remettre ce chèque, se retrouve dans l’incapacité de retrouver son débiteur pour obtenir paiement.

En autorisant les banquiers, soit des sociétés privées, à réaliser des requêtes au FNCI, cet article a des conséquences sur le respect des libertés individuelles. A juste titre, la loi actuelle et cet article prévoient que ces requêtes sont enregistrées. Mais l’enregistrement seul n’est pas suffisant. Nous proposons donc simplement de garantir la prévention des libertés individuelles en permettant à la CNIL d’observer les requêtes, de les quantifier, et d’agir dans le cas où un banquier devait par son action, représenter une menace pour la confidentialité de données personnelles.

Cette observation et quantification ont déjà court dans de nombreux espaces. Les requêtes des agents de police ou de gendarmerie au tableau des antécédents judiciaires (TAJ) sont enregistrées, quantifiées, et si le nombre de requêtes est manifestement trop important, une alerte est automatiquement envoyée. C’est ce type de dispositif qui a permis en 2024 de détecter la consultation présumée illégale du TAJ à Saint-Jory, en Haute-Garonne, et de faire cesser des agissements attentatoires aux libertés individuelles.

Nous proposons donc de permettre à la CNIL d’observer les requêtes, et de pouvoir agir pour supprimer la menace sur les libertés individuelles en cas d’abus manifeste.

Compléter cet article par l’alinéa suivant :

« La Commission nationale de l’informatique et des libertés dispose d’un accès à l’enregistrement prévu au précédent alinéa. En cas de demandes d’informations manifestement surnuméraires de la part d’un banquier, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à accéder aux informations visées au premier alinéa. »

Par cet amendement, les députés du groupe LFI-NFP proposent d’adopter une échelle de sanctions afin de dissuader des prestataires de services de paiement peu scrupuleux de renseigner à dessein des IBAN non-frauduleux dans le référentiel, ce qui nuirait directement aux personnes détentrices de ces IBAN.

La création de ce fichier a pour suite logique la mise en place par les opérateurs de paiement de rejets des virements à destination des IBAN qui se trouvent dans ce fichier. Ceci pose une implication directe : les prestataires de services de paiement, en étant responsables de l’alimentation du fichier se voient confier un fort pouvoir de nuisance. Il leur suffit en effet de placer l’IBAN d’une personne ou d’une société dans ce fichier pour que cette personne ou cette société se retrouve en difficulté pour recevoir des paiements par virement.

Nous proposons donc de prévoir une responsabilisation des acteurs chargés de l’alimentation du fichier, qui servira de garde-fou face à des prestataires (ou leurs salariés) qui se retrouverait tenté d’utiliser ce fichier à mauvais escient, par la mise en place d’amendes dissuasives. Si un prestataire de paiement devait entrer à dessein un compte qu’il sait non-frauduleux, il s’exposerait alors à une amende de dix-mille euros, et de cinquante mille euros en cas de récidive.

Sanctionner, en soi, n’a toutefois aucun intérêt. Il s’agit avant tout de prévenir le risque de détournement de ce fichier à des fins personnelles, puis si la dissuasion devait s’avérer insuffisante, de protéger les citoyennes et citoyens de dérives engendrées par la création de ce fichier. Ainsi, si un acteur devait persévérer dans l’ajout de compte non-frauduleux, nous souhaitons permettre à la CNIL de retirer la possibilité de participer au fichier, ce qui éliminera de fait la menace qui pèse sur les libertés individuelles.

Après l’alinéa 3, insérer les deux alinéas suivants :

« Tout ajout à dessein de coordonnées bancaires d’un compte manifestement non frauduleux est sanctionné d’une amende administrative de 10 000 € par compte, puis de 50 000 € par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par la Commission nationale de l’informatique et des libertés.

« En cas d’ajouts de comptes non frauduleux répétés de la part d’un prestataire de services de paiement, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »

Par cet amendement, les députés du groupe LFI-NFP proposent de supprimer les mots « ou susceptibles d’être frauduleux », qui constituent au mieux une redondance, ou au pire accentuent le risque de retrouver dans le fichier des faux positifs.

La création d’un tel fichier, sur lequel pourra être adossé des requêtes en vue de la validation ou non d’une transaction est globalement une bonne chose, qui demeure trop modeste dans la lutte contre la fraude bancaire.

Pour que ce fichier ait un intérêt à l’avenir et participe à la lutte, les informations qu’il contient doivent être les plus fiables possibles, ce qui passe par une alimentation correcte du fichier par les prestataires de paiement.

La possibilité d’ajouts de faux positifs par les prestataires de paiement, c’est-à-dire d’IBAN relié à des personnes honnêtes, mais qui sont qualifiée à tort comme potentiellement frauduleux (par exemple par un algorithme de détection d’anomalies), fait peser un double risque :
D’une part, ces faux positifs rendent le fichier moins fiable, et brouillent les actions à entreprendre pour les prestataires de paiement face à un IBAN dans le fichier.
D’autre part, et de manière beaucoup plus grave, cela expose la personne détenant l’IBAN identifié à tort comme frauduleux à ne plus pouvoir recevoir de virement sur son compte bancaire, l’exposant notamment à un découvert rapide dans le cadre de virements salariaux empêchés.

À ce titre, nous proposons donc que les prestataires de service ne renseignent dans ce futur fichier uniquement les IBAN qu’ils « estiment frauduleux », et non pas les IBAN qu’ils estiment « susceptibles d’être frauduleux ». Tout IBAN étant, par définition, susceptible d’être frauduleux, sans quoi il serait aisé de mettre un terme à la fraude au faux RIB. La notion de suspicion étant déjà comprise dans le fait d’estimer frauduleux, l’ajout de cette susceptibilité ne fera que nuire à la qualité du fichier tout en faisant peser un risque supérieur sur les libertés individuelles.

À la première phrase de l’alinéa 2, supprimer les mots :

« ou susceptibles d’être frauduleux ».

Par cet amendement, les députés du groupe LFI-NFP proposent de doubler l’entrée d’une déclaration dans le fichier d’une confirmation ultérieure de la pertinence de cette information, afin de limiter le risque d’IBAN non-frauduleux dans le fichier qui seraient maintenus par simple manque de rigueur ou négligence de la part d’un prestataire de services de paiement.

Tel que rédigé, l’article renvoie l’entière responsabilité de la qualité des informations renseignées aux prestataires de services de paiement, sans véritablement cadrer leur responsabilité. Du point de vue de l’ajout d’IBAN non-frauduleux dans la base, ce sont ces prestataires qui se retrouvent tenus de réaliser une déclaration corrective afin de les retrancher. Cette possibilité pour un prestataire de revenir sur ses déclarations précédentes est nécessaire, mais elle est loin d’être suffisante.

En effet, l’effacement d’un IBAN non-frauduleux, tenant à l’action d’un prestataire, reste hypothétique. Pour peu que le prestataire ne prenne pas l’initiative de revenir sur sa déclaration, ce qui peut facilement arriver par négligence, le prestataire n’étant pas incité à mettre à jour les informations, ou tout simplement en cas de changement d’emploi du travailleur ou de la travailleuse ayant réalisé la déclaration pour le compte du prestataire.

En cas d’oubli, l’IBAN non-frauduleux se retrouverait alors indéfiniment dans le fichier, ce qui implique des conséquences fâcheuses pour la personne qui le détient, en particulier une probable impossibilité d’obtenir un virement. Cette personne se retrouvera alors contrainte d’ouvrir un nouveau compte bancaire.

À l’inverse, nous proposons donc que les prestataires confirment, au plus tôt un mois après l’inscription d’un IBAN au fichier, la pertinence de cette inscription. De cette manière, il sera possible de correspondre au critère d’urgence face à la fraude en ajoutant rapidement un IBAN, et à la sortie automatique de cet IBAN dans le cas où le prestataire, ayant eu le temps suffisant pour procéder à des vérifications, ne constatait pas de fraude de la part du compte.

Après l’alinéa 3, insérer l’alinéa suivant :

« Au plus tôt un mois après avoir enregistré une déclaration comportant les coordonnées bancaires d’un compte, les prestataires de paiement doivent confirmer la pertinence de la présence de ce compte dans le fichier. En l’absence de confirmation, la déclaration numérique relative au compte est automatiquement retirée du fichier ».

Par cet amendement, le groupe LFI-NFP proposent d’adopter une échelle de sanctions afin de dissuader les agents de la Banque de France et des prestataires de paiement d’opérer une fuite de données personnelles.

La création de ce fichier, qui devrait permettre le rejet de virements à destination de comptes frauduleux, confie aux prestataires de service de paiement, et donc à des acteurs privés, la possibilité de renseigner et surtout d’obtenir des données privées.

Ces données ont une valeur : elles pourraient parfaitement être revendues à des acteurs peu scrupuleux. A titre d’exemple, un malfaiteur sera tenté d’acheter les informations contenues dans le fichier afin d’observer les éléments ayant permis la qualification de ses comptes comme frauduleux, afin de ne pas répéter les mêmes erreurs. Plus largement, le risque de fuites de données fait peser un fort risque sur les libertés individuelles.

Si cet article prévoit bien l’interdiction pour les prestataires de services de paiement et pour la Banque de France de transmettre des extraits du fichier, cette interdiction n’est assortie d’aucune sanction.

En l’absence de sanction, les acteurs privés, surtout en situation de position dominante, ne respectent la loi que lorsque cela les arrange. Nous en avons eu l’exemple le plus flagrant à l’automne dernier : le Gouvernement Barnier a déposé le Projet de loi de finances pour 2025 une dizaine de jours après le premier mardi d’octobre, la date butoir prévue par la Loi organique n° 2001‑692 du 1 août 2001 relative aux lois de finances. En l’absence de sanctions ou d’implications en cas de non-respect de cette obligation, cette violation de la loi n’a entraîné aucune conséquence. Dans un pays où l’exécutif peut ne pas respecter lui-même une loi organique, il est très hypothétique de s’imaginer que les prestataires de services de paiement se plieront à des obligations, si se soustraire à ces obligations n’est suivi d’aucune sanction.

Afin de sécuriser l’effectivité des dispositions de cet article, nous proposons donc de mettre en place un barème simple d’amendes administratives de 3 000 € pour un premier manquement, puis de 15 000 € en cas de récidive. Dans le cas où un prestataire de paiement diffuserait à plusieurs reprises des informations privées, signe d’une volonté manifeste de créer des fuites de données privées, la CNIL pourra mettre un terme à sa participation au dispositif, mettant de fait un terme à cette pratique.

Après l’alinéa 9, insérer les deux alinéas suivants :

« Tout manquement à l’interdiction mentionnée au précédent alinéa est sanctionné d’une amende administrative de 3 000 € par compte, puis de 15 000 € par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par la Commission nationale de l’informatique et des libertés.

« En cas de manquements répétés de la part d’un prestataire de services de paiement, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »

Cet amendement des députés du groupe LFI-NFP proposent de renforcer le principe de mise en place de ce fichier, en renforçant la responsabilité des banques et prestataires de paiement dans le cas où elles effectueraient un virement vers un compte frauduleux présent dans le fichier.

Le 15 janvier dernier, la Cour de cassation a émis une décision de pleine responsabilisation des victimes d’escrocs bancaires. De fait, ces dernières n’ont droit à aucune forme d’indemnisation face à l’arnaque subie. Auparavant, la banque prenait sa part de responsabilité dans la négligence ayant conduit au virement frauduleux, ce qui pouvait conduire à un remboursement partiel des sommes soustraites à la victime.

Nous déplorons ce traitement, et appelons à une modification de la loi afin que les banques soient pleinement responsabilisées dans les virements qu’elles opèrent. Les victimes, la plupart du temps des particuliers vulnérables à des méthodes comme le phishing, l’arnaque au faux conseiller, ou l’IBAN piraté se retrouvent en danger économique et social par la perte de leur argent. Ce n’est pas le cas des banques, qui peuvent largement encaisser ces pertes sans que cela n’affecte significativement leur résultat.

Plus que cela, il s’agit de se munir d’un dispositif incitatif aux dispositions prévues à l’article premier. Le coût de la création, Constitution et entretien du fichier est supposément supporté par les prestataires de services privés. Ces dispositions, auxquelles nous sommes favorables, comportent un risque : que les prestataires de services de paiement refusent simplement de participer, afin de se soustraire au coût de la participation. Elles auront alors une responsabilité morale dans l’extension de la fraude bancaire, mais n’en supporterait pas le coût.

Il s’agit alors de reconnaître que réaliser un virement à destination d’un compte frauduleux constitue une négligence grave de la part d’une banque ou d’un prestataire de services de paiement, de nature à engager sa responsabilité et à indemniser en totalité la victime de l’escroquerie. De la sorte, les banques et les prestataires de services de paiement auront tout intérêt à participer au dispositif, à exploiter les potentialités informatives du fichier, et à s’impliquer plus largement dans la nécessaire lutte contre la fraude.

Plus important, de cette manière, nous garantirons aux victimes des possibilités d’indemnisation, ne les laissant pas seules face à des drames sociaux qui auraient pu être évités.

Le deuxième alinéa de l’article L. 133‑21 du code monétaire et financier est complété par la phrase suivante :

« Toutefois, si l’identifiant unique fourni par l’utilisateur du service de paiement figure dans le registre défini à l’article L. 521‑6‑1, le prestataire de services de paiement est tenu responsable de la mauvaise exécution du paiement et procède à l’indemnisation du payeur dans les mêmes conditions de celles prévues à l’article L. 133‑18 du présent code. »

Cet amendement du groupe LFI-NFP prévoit de permettre aux citoyennes et aux citoyennes de savoir si les IBAN qu’ils détiennent se trouvent, ou non, dans le fichier, et une voie de recours pour en sortir.

Cet article fait peser un certain risque sur les libertés individuelles : dans la rédaction actuelle, une personne dont le compte aurait été intégré à tort dans le fichier n’est pas notifié, elle verrait donc simplement les virements à sa destination échouer, sans aucune explication.

Dans un pays où près de 10 millions de personnes vivent sous le seuil de pauvreté, où près du tiers des Français vivent avec moins de 100 euros dès le 10 du mois, et où le salaire suivant est absolument nécessaire pour couvrir les biens indispensables à la vie, cette possibilité fait courir un risque sur les plus précaires d’entre nous.

Une personne ainsi lésée par l’inscription de son compte au fichier doit disposer des moyens pour constater la source de ses difficultés, et pouvoir les contester. Nous proposons donc de renforcer la possibilité pour les citoyens d’accéder aux informations les concernant en leur donnant la possibilité d’interroger la Banque de France à ce sujet. Les conseillers bancaires pourront alors proposer cette démarche à leurs clients lors de difficultés rencontrées avec leur compte.

Dans le cas où une personne honnête constaterait la présence de son compte bancaire ou de celui de son entreprise au sein du fichier, ce qui viendrait alors expliquer des difficultés à percevoir un virement, elle pourrait alors demander un examen spécifique de son cas, afin de démontrer qu’il ne s’agit pas d’un compte frauduleux, et obtenir le retrait de son compte du fichier.

Afin de protéger les libertés individuelles, nous proposons donc de protéger les citoyens de l’arbitraire de l’alimentation de ce fichier, en introduisant un droit à l’information et un droit de recours.

Après l’alinéa 10, insérer l’alinéa suivant :

« Toute personne, morale ou physique, est en droit de solliciter la Banque de France afin de savoir si les comptes qu’elle détient se trouvent dans le fichier. Le cas échéant, toute personne est en droit de contester le caractère frauduleux d’un compte qu’elle détient. Après enquête, la Banque de France retire du fichier tout compte contesté dont le caractère frauduleux n’a pas pu être établi. Un décret pris en Conseil d’État fixe les modalités des dispositions du présent alinéa. »